常见错误:HTTP 实用演示 DCV 方法

要使用 HTTP 实用演示 DCV 方法验证域,您需要具备以下两项:1) DigiCert 提供的随机值,2) 您需要将包含随机值的 fileauth.txt 文件放置在您的网站上的 URL 或位置(例如,http://[your-domain]/.well-known/pki-validation/fileauth.txt。

URL 执行两个任务:

  • 它包含您要我们验证的域的 FQDN(完全限定的域名)。
  • 它告诉我们在哪里可以找到您在其中添加生成的随机值的 fileauth.txt 文件。

下面是我们在排查 HTTP 实用演示检查失败的原因时遇到的一些较常见的问题。HTTP 实用演示 DCV 流程旨在阻止未经授权人员使用他们控制的域验证不归他们控制的域(例如,您的域),及获得证书。

不要修改提供的 URL

如果您对 URL 进行任何修改(更改 FQDN、将小写字母大写、忘记添加句点等),我们将无法找到包含我们生成的随机值的 fileauth.txt 文件。

例如,如果我们为您提供此 URL:[http://your-domain]/.well-known/pki-validation/fileauth.txt,请不要在其中添加 www ([http://www.your-domain]/.well-known/pki-validation/fileauth.txt) 或将原始 URL 未大写的字母大写 ([http://your-domain]/.well-known/PKI-validation/fileauth.txt)。

不要将 fileauth.txt 放置在不同的域或子域中

要为[your-domain],完成域控制验证,请将 fileauth.txt 文件放置在您要验证的准确域中,即我们为之生成 URL 的域。我们不会搜索其他域或子域来查找我们的随机令牌。我们只会搜索您要验证的域(例如,您的证书订单上的域)。

例如,如果您要验证[your-domain],我们会为此域生成 URL -[http://yourdomain]/.well-known/pki-validation/fileauth.txt。不要将 fileaut.txt 文件放置在[sub.your-domain]上,也不要修改 URL 并将其放置在[your-other-domain]上,否则将无法工作。我们在这些域上找不到 fileaut.txt 文件。我们会在来自您的证书订单的域[your-domain],或您提交预验证的域上查找。

[your-domain]和 www.[your-domain]

如果您需要我们验证 www.[your-domain]和[your-domain],,不要将 fileaut.txt 文件放置在[your-domain]. 这将同时验证[your-domain],和 www.[your-domain]. 我们不会浏览 www.[your-domain]以查找 fileauth.txt 文件。

自由基域 SAN

如果您收到 SSL 证书上的自由基域 SAN,请务必将 fileauth.txt 文件放置在基域上。我们需要验证 SSL/TLS 证书订单上的域。

不要在 fileauth.txt 文件上包括任何附加内容

当您创建 fileauth.txt 文件时,请复制 DigiCert 提供的令牌值并将其粘贴到文件中。不要添加"令牌"一词或任何其他文本。

由于我们只读取 fileauth.txt 文件的前 2kb,因此附加文本将会阻止我们验证您对域的控制权。

不要将 fileauth.txt 文件放置在具有多个重定向链接的页面上

使用 HTTP 实用演示方法进行域验证时,fileauth.txt 文件可以放置在包含最多一个重定向链接的页面上。通过单一重定向,我们仍然可以找到 fileauth.txt 文件并验证您对域的控制权。

例如,您需要获取 http://example.com 的证书,但页面重定向到 https://www.example.com。这没关系。将 fileauth.txt 文件放置在 http://example.com 页面上。我们仍然可以按照单一重定向链接验证您对 http://example.com 的控制权。

但是,如果您将 fileauth.txt 文件放置在具有多个重定向链接的页面上,我们将无法找到该文件。多个重定向链接将导致我们无法找到 fileauth.txt 文件并验证您对域的控制权。

例如,您需要获取 http://multiple-redirect.com 的证书,但页面重定向到 https://www.multiple-redirect.com,然后再次重定向到 https://www.single-redirect.com。在这种情况下,您必须仍然将 fileauth.txt 文件放置在 http://multiple-redirect.com 页面上。但是,您需禁用第二个重定向链接 (https://www.single-redirect.com),直至我们找到 fileauth.txt 文件并验证您对 http://multiple-redirect.com 的控制权。